[求助]脫殼ASProtect 2.1x SKE 後檔案無法使用-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]脫殼ASProtect 2.1x SKE 後檔案無法使用 0.00雪花

发表于: 2008-7-22 03:25 4569

[旧帖] [求助]脫殼ASProtect 2.1x SKE 後檔案無法使用 0.00雪花

swwy

2008-7-22 03:25

4569

小弟最近用Volx大俠的腳本Aspr2.XX_IATfixer_v1.02

脫ASProtect 2.1x SKE -> Alexey Solodovnikov的殼

00A0E5EC 68 BAE2FF0F    push 0FFFE2BA
00A0E5F1 68 D41E0000    push 1ED4
00A0E5F6 68 14C70000    push 0C714
00A0E5FB 68 00600400    push 46000
00A0E600 FF35 D4B4A300 push dword ptr ds:[A3B4D4]
00A0E606 E8 75D3FFFF    call 00A0B980
00A0E60B 310424       xor dword ptr ss:[esp],eax
00A0E60E 8B05 D4B4A300 mov eax,dword ptr ds:[A3B4D4]
00A0E614 010424       add dword ptr ss:[esp],eax
00A0E617 C3             retn
00A0E618 C3             retn

運行到紅色位子出現了一個視窗

There are stolen code after API and the address of the call xxxxxxxx are saved in the file named SCafAPI.bin

按確定後!我繼續運行腳本，又出現一個視窗

Import table is fixed you can dump the file now or later ckeck the address and size of IAT in log window

但是還是在紅色的位子

00A0E5EC 68 BAE2FF0F    push 0FFFE2BA
00A0E5F6 68 14C70000    push 0C714
00A0E5FB 68 00600400    push 46000
00A0E600 FF35 D4B4A300 push dword ptr ds:[A3B4D4]
00A0E606 E8 75D3FFFF    call 00A0B980
00A0E60B 310424       xor dword ptr ss:[esp],eax
00A0E60E 8B05 D4B4A300 mov eax,dword ptr ds:[A3B4D4]
00A0E614 010424       add dword ptr ss:[esp],eax
00A0E617 C3             retn
00A0E618 C3             retn

接著我用運行腳本,出現了一個視窗

OEP found no stolen code at the OEP

按下確定來到

0040AEEF 55             push ebp
0040AEF0 8BEC          mov ebp,esp
0040AEF2 6A FF          push -1
0040AEF4 68 10CF4000    push 0040CF10
0040AEF9 68 76B04000    push 0040B076                         ; jmp 到 msvcrt._except_handler3
0040AEFE 64:A1 00000000  mov eax,dword ptr fs:[0]
0040AF04 50             push eax
0040AF05 64:8925 0000000>mov dword ptr fs:[0],esp
0040AF0C 83EC 68       sub esp,68
0040AF0F 53             push ebx
0040AF10 56             push esi
0040AF11 57             push edi

來到上面紅色的位子,就在這裡我用LordPE完整脫殼

接著用ImportREC修復

用OD的Dump找到 Modyfi "AFFE"

再　ImportREC　的　OEP 　貼上　＂AFFE＂　點選＂自動搜尋＂，然後點選＂獲取表格＂

點選＂顯示無效函數＂，結果沒有無效，在點選修復轉存檔案，點選之前用LordPE脫的檔案

就完成了！但是完成後！點選脫殼的檔案，在使用者跟密碼那邊點選登錄

程式就當機了，無法使用，但是其他功能卻可以，希望有大大可以解答

是我脫殼失敗還是少掉了什麼,希望大大也可以解答

下面是圖片，對照上面的字，是網路相簿不會有毒

http://photo.pchome.com.tw/gash0325/121666718149/

圖有點小，不好意思

另外還有一個Hook.dll的檔案，也是同樣的殼，沒有這個軟體就開不起來

是否這個也要脫呢？還是就是這個導致沒辦法使用

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (11)
清风小子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 83 粉丝 0 关注私信	清风小子 2 楼试试用ESP定律脱 2008-7-22 08:01 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 3 楼脫哪一個呢?是DLL檔還是上面的那個檔?? 2008-7-22 13:03 0
guoqianyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	guoqianyi 4 楼多试着修复几次，有时就是这样的，上次脱ASP壳修复了几次才成功，什么参数也没改。。。 2008-7-22 16:26 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 5 楼那請問各位大大,我上面這樣的脫殼程序有錯嗎? 另外有人跟我說是校驗的問題? 什麼是校驗呢?怎麼跟蹤? 2008-7-22 17:13 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 6 楼应该不是什么校验的问题。。。我做的一个脱壳演示录像，你可以随便找个播放器全屏播放看一下，应该对你有帮助的，我在压缩包里附带了英文版的脚本，和简体中文版只是语言不同罢了（因为我不知道繁体系统里能不能正常显示简体中文）。这是下载链接： http://www.mediafire.com/?yyxdqvjyixr 2008-7-22 20:44 0
wkhx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wkhx 7 楼。。。。看不太懂。。。顶 2008-7-22 21:41 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 8 楼謝謝您，但是沒辦法下載耶！請麻煩您在試試看新的連結 http://www.badongo.com　這個是免費上傳空間您可以試試看，幫忙我一下＞＜！希望能找到解決辦法！！ 2008-7-23 00:59 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 9 楼是哪裡看不懂呢那段是已經運行腳本後到達的位子希望您看的懂了！ 2008-7-23 01:02 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 10 楼另外再多問一個問題ASProtect 2.1x SKE -> Alexey Solodovnikov這個強殼能用ｅｓｐ脫嗎？如果可以請大大給個教學文章我需要研究研究＞＜！另外我把程式放在網路 http://www.badongo.com/file/10514988　這個空間希望各位大大看看，如果成功脫殼，而且可以運行希望大大可以把過程寫下來，好讓我這個菜鳥能學習！謝謝！！ 2008-7-23 01:05 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 11 楼 [QUOTE=swwy;485183]另外再多問一個問題ASProtect 2.1x SKE -> Alexey Solodovnikov這個強殼能用ｅｓｐ脫嗎？如果可以請大大給個教學文章我需要研究研究＞＜！另外我把程式放在網路 http://www.badongo.com/file/1051...[/QUOTE] 当然不可以了！听他们瞎说。。。你给的站我上不去重新传个地方，你试试：http://www.megaupload.com/?d=LMN63GCG 2008-7-23 01:20 0
不死神鸟雪币： 9 活跃值： (127) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 12 楼补区段!!!!!!!! 2008-7-23 04:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

swwy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
清风小子雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 83 粉丝 0 关注私信	清风小子 2 楼试试用ESP定律脱 2008-7-22 08:01 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 3 楼脫哪一個呢?是DLL檔還是上面的那個檔?? 2008-7-22 13:03 0
guoqianyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	guoqianyi 4 楼多试着修复几次，有时就是这样的，上次脱ASP壳修复了几次才成功，什么参数也没改。。。 2008-7-22 16:26 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 5 楼那請問各位大大,我上面這樣的脫殼程序有錯嗎? 另外有人跟我說是校驗的問題? 什麼是校驗呢?怎麼跟蹤? 2008-7-22 17:13 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 6 楼应该不是什么校验的问题。。。我做的一个脱壳演示录像，你可以随便找个播放器全屏播放看一下，应该对你有帮助的，我在压缩包里附带了英文版的脚本，和简体中文版只是语言不同罢了（因为我不知道繁体系统里能不能正常显示简体中文）。这是下载链接： http://www.mediafire.com/?yyxdqvjyixr 2008-7-22 20:44 0
wkhx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wkhx 7 楼。。。。看不太懂。。。顶 2008-7-22 21:41 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 8 楼謝謝您，但是沒辦法下載耶！請麻煩您在試試看新的連結 http://www.badongo.com　這個是免費上傳空間您可以試試看，幫忙我一下＞＜！希望能找到解決辦法！！ 2008-7-23 00:59 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 9 楼是哪裡看不懂呢那段是已經運行腳本後到達的位子希望您看的懂了！ 2008-7-23 01:02 0
swwy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	swwy 10 楼另外再多問一個問題ASProtect 2.1x SKE -> Alexey Solodovnikov這個強殼能用ｅｓｐ脫嗎？如果可以請大大給個教學文章我需要研究研究＞＜！另外我把程式放在網路 http://www.badongo.com/file/10514988　這個空間希望各位大大看看，如果成功脫殼，而且可以運行希望大大可以把過程寫下來，好讓我這個菜鳥能學習！謝謝！！ 2008-7-23 01:05 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 11 楼 [QUOTE=swwy;485183]另外再多問一個問題ASProtect 2.1x SKE -> Alexey Solodovnikov這個強殼能用ｅｓｐ脫嗎？如果可以請大大給個教學文章我需要研究研究＞＜！另外我把程式放在網路 http://www.badongo.com/file/1051...[/QUOTE] 当然不可以了！听他们瞎说。。。你给的站我上不去重新传个地方，你试试：http://www.megaupload.com/?d=LMN63GCG 2008-7-23 01:20 0
不死神鸟雪币： 9 活跃值： (127) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 12 楼补区段!!!!!!!! 2008-7-23 04:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复